El navegador web de código abierto Mozilla Firefox y el cliente de correo electrónico multiplataforma Mozilla Thunderbird se han visto expuestos a una vulnerabilidad identificada como CVE-2023-29542 clasificada con severidad CRÍTICA y una puntuación CVSSv3: 9.8.
Se ha reportado que mediante los saltos de línea en los nombres de los archivos se pueden eludir los mecanismos de seguridad de las extensiones de archivos, que reemplazarían en extensiones de archivos maliciosos como “.lnk” y “.download”. La explotación exitosa de esta vulnerabilidad podría conducir a la ejecución de código remoto.
Este error solo afecta a Firefox y Thunderbird en Windows; no se ven afectados en otros sistemas operativos.
Productos y Versiones afectadas
- Firefox anteriores a 112
- Firefox ESR anteriores a 102.10
- Thunderbird anteriores a 102.10
Solución
Actualizar de forma inmediata a las versiones de Firefox y Thunderbird que corrigen las vulnerabilidades:
| Productos | Versiones parchadas |
| Firefox | 114.0.2-1 |
| Firefox ESR | 91.12.0esr-1~deb10u1 102.12.0esr-1~deb10u1 102.10.0esr-1~deb11u1 102.12.0esr-1~deb11u1 102.11.0esr-1 102.12.0esr-1~deb12u1 102.12.0esr-1 |
| Thunderbird | 1:91.12.0-1~deb10u1 1:102.12.0-1~deb10u1 1:102.10.0-1~deb11u1 1:102.12.0-1~deb11u1 1:102.11.0-1 1:102.12.0-1~deb12u1 1:102.12.0-1 |
Recomendaciones
- Se recomienda implementar lo antes posible las ultimas actualizaciones disponibles para Firefox y Thunderbird.
Referencias
Para mayor información sobre la vulnerabilidad descrita, consultar los siguiente enlaces:
- https://www.tenable.com/cve/CVE-2023-29542
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-29542
- https://nvd.nist.gov/vuln/detail/CVE-2023-29542
- https://security-tracker.debian.org/tracker/CVE-2023-29542